云計(jì)算技術(shù)的出現(xiàn)，改變了數(shù)據(jù)計(jì)算和存儲(chǔ)的方式，它解決了在海量數(shù)據(jù)之下，傳統(tǒng)數(shù)據(jù)存儲(chǔ)技術(shù)的性能瓶頸。鑒于現(xiàn)代企業(yè)組織對(duì)云的使用變得越來越普遍，將云計(jì)算應(yīng)用添加到安全事件響應(yīng)流程中顯得無(wú)比重要。

安全事件響應(yīng)一般包括事件檢測(cè)、事件分析和應(yīng)對(duì)事件的計(jì)劃、流程、控制措施等。云安全事件響應(yīng)也不例外。同時(shí)，由于云計(jì)算的基礎(chǔ)架構(gòu)已發(fā)生了變化，許多企業(yè)是通過云服務(wù)提供商（CSP）來部署私有云和公共云，因此，云安全事件響應(yīng)還需要有一些獨(dú)特的流程和方法。

云安全事件響應(yīng)難點(diǎn)

落實(shí)健全可靠的云安全事件響應(yīng)策略可以確保企業(yè)能夠快速有效地響應(yīng)云上安全事件，但其往往面臨著以下方面的挑戰(zhàn)： 

• 專業(yè)技能不足，缺少同時(shí)具備云計(jì)算知識(shí)和安全防護(hù)知識(shí)的專業(yè)人才；
• 對(duì)云特有的事件了解不足，比如要分析和處理的API調(diào)用和信息；
• 缺少可見性，未實(shí)施幫助用戶了解云上應(yīng)用活動(dòng)的監(jiān)控工具。

由于云上的一些數(shù)據(jù)資產(chǎn)和服務(wù)可能全部或部分由CSP管理，因此企業(yè)的云應(yīng)用涉及責(zé)任共擔(dān)模式。例如，當(dāng)企業(yè)的云上SaaS服務(wù)遭到攻擊入侵時(shí)，由于對(duì)事件和攻擊指標(biāo)缺乏可見性或監(jiān)測(cè)數(shù)據(jù)，往往難以第一時(shí)間觸發(fā)攻擊警報(bào)。然而在比較多樣化的IaaS云中，許多對(duì)象和資產(chǎn)由企業(yè)自己來控制，因此需要由企業(yè)來負(fù)責(zé)安全的管理和響應(yīng)。

同時(shí)，許多企業(yè)在本地?cái)?shù)據(jù)中心的安全方案和控制措施并不適合云環(huán)境。比如說，一些工具存在兼容性或性能方面的挑戰(zhàn)，而另一些工具可能無(wú)法被云API調(diào)用，無(wú)法結(jié)合上下文信息來檢測(cè)攻擊和入侵指標(biāo)。

此外，云安全防護(hù)的重點(diǎn)在于使用云原生服務(wù)作為安全事件響應(yīng)的關(guān)鍵要素，需要關(guān)注自動(dòng)化流程和安全能力編排。

云安全事件響應(yīng)流程

云安全聯(lián)盟（CSA）發(fā)布了一套面向云的事件響應(yīng)框架，概述了企業(yè)組織在云安全事件響應(yīng)中的四個(gè)關(guān)鍵步驟：

• 準(zhǔn)備和審查。云安全事件響應(yīng)的準(zhǔn)備階段包括：工具和控制措施的實(shí)施、對(duì)員工進(jìn)行云應(yīng)用知識(shí)方面的培訓(xùn)以及云響應(yīng)行動(dòng)手冊(cè)的制定。該階段需要涵蓋各項(xiàng)前期準(zhǔn)備工作，從而使安全團(tuán)隊(duì)能夠在云安全事件發(fā)生之前做好充分的響應(yīng)準(zhǔn)備。
• 檢測(cè)和分析。企業(yè)應(yīng)該充分監(jiān)控云服務(wù)環(huán)境，以發(fā)現(xiàn)可能表明攻擊及其他安全性事件的指標(biāo)。企業(yè)應(yīng)該密切跟蹤潛在的征兆，比如新的云攻擊途徑、云服務(wù)漏洞和服務(wù)中斷的通知。在該階段，安全團(tuán)隊(duì)需要檢測(cè)安全告警事件，并以此判斷是否需要啟動(dòng)全面的安全事件響應(yīng)工作，以及開展相關(guān)的調(diào)查取證工作。
• 遏制、清除和恢復(fù)。這個(gè)階段側(cè)重于幾個(gè)不同的目標(biāo)。首先，安全響應(yīng)團(tuán)隊(duì)?wèi)?yīng)該防止攻擊事件的蔓延或惡化。這可能需要采取行動(dòng)，比如遷移到不同的可用區(qū)以提高業(yè)務(wù)連續(xù)性，或者隔離行為可疑或惡意的訪問；清除是指消除或杜絕安全事件的產(chǎn)生原因，比如被惡意軟件感染的容器鏡像和運(yùn)行時(shí)受到影響的賬戶；恢復(fù)則是指恢復(fù)業(yè)務(wù)系統(tǒng)在云端的正常運(yùn)營(yíng)。
• 總結(jié)分析。這個(gè)階段是指對(duì)事件響應(yīng)期間的各項(xiàng)工作進(jìn)行總結(jié)，以防止同類事件再次發(fā)生。這個(gè)階段需要安全團(tuán)隊(duì)和其他業(yè)務(wù)部門以及CSP進(jìn)行協(xié)調(diào)溝通。此外，可以利用該階段確定各項(xiàng)安全控制措施和流程是否有效。

云安全事件響應(yīng)最佳實(shí)踐

企業(yè)組織在制定和執(zhí)行云安全事件響應(yīng)策略時(shí)，可以參考以下最佳實(shí)踐經(jīng)驗(yàn)：

• 加強(qiáng)響應(yīng)團(tuán)隊(duì)成員接受云安全知識(shí)培訓(xùn)

云安全事件響應(yīng)需要同時(shí)具備云計(jì)算知識(shí)和安全防護(hù)知識(shí)的專業(yè)人才。因此，要讓安全團(tuán)隊(duì)成員熟悉云安全事件響應(yīng)中所需的各類服務(wù)、對(duì)象、API、命令及其他以云為中心的知識(shí)理論。

• 提前創(chuàng)建事件響應(yīng)特權(quán)賬戶

這是一個(gè)重要的云事件響應(yīng)步驟。IT部門很難在突發(fā)事件爆發(fā)的緊急關(guān)頭為事件響應(yīng)分析師創(chuàng)建最小特權(quán)模型。因此需要?jiǎng)?chuàng)建滿足響應(yīng)需求的最小特權(quán)賬戶，以便在需要時(shí)在云端執(zhí)行特定的處置操作。要為這些賬戶定義好角色，并為這些賬戶啟用多因素身份驗(yàn)證。

• 啟用日志證據(jù)記錄選項(xiàng)

即使證據(jù)目前沒有存儲(chǔ)在云端，也要提前做好日志信息記錄這項(xiàng)工作。比如說，Amazon Simple Storage Service Versioning（亞馬遜簡(jiǎn)單存儲(chǔ)服務(wù)版本控制）功能可用于安全保管和恢復(fù)日志信息。如果云服務(wù)商提供云日志記錄服務(wù)，應(yīng)該盡快啟用這項(xiàng)功能。同時(shí)，還應(yīng)該啟用基于指標(biāo)觸發(fā)警報(bào)的機(jī)制，比如Amazon CloudWatch或Azure Monitor。

• 啟用云護(hù)欄服務(wù)

此類服務(wù)可以幫助企業(yè)獲得額外的可見性和監(jiān)控能力。比如說，一些服務(wù)可以使團(tuán)隊(duì)能夠使用CSP的原生結(jié)構(gòu)來監(jiān)控云賬戶的資產(chǎn)、服務(wù)和行為，比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。

• 確保事件響應(yīng)工具與所選擇的CSP兼容

云安全事件響應(yīng)中需要使用多種工具，要確保這些工具在云上可以兼容。比如：檢查EDR工具是否能夠監(jiān)測(cè)和警報(bào)在PaaS系統(tǒng)（比如容器、Kubernetes和無(wú)服務(wù)器系統(tǒng)）中的攻擊和惡意活動(dòng)。

• 將云API集成和自動(dòng)化功能加入到響應(yīng)工作流程中

在云端落實(shí)自動(dòng)化的假設(shè)分析（if-then）要比在本地?cái)?shù)據(jù)中心更容易，通過一些原生工具就可以實(shí)現(xiàn)。同樣，組織還可以啟用自動(dòng)獲取攻擊證據(jù)的機(jī)制，這樣可以在取證時(shí)大量節(jié)省事件響應(yīng)團(tuán)隊(duì)的數(shù)據(jù)檢索時(shí)間。

• 與云運(yùn)維團(tuán)隊(duì)和DevOps團(tuán)隊(duì)保持步調(diào)一致

云事件響應(yīng)行動(dòng)計(jì)劃要盡可能減少對(duì)業(yè)務(wù)生產(chǎn)環(huán)境的印象和中斷。因此，云安全事件響應(yīng)團(tuán)隊(duì)要在事件處置的全過程中，和所有利益相關(guān)者保持密切配合。云安全事件響應(yīng)中隨時(shí)會(huì)面臨挫折和打擊，在此過程中，需要積極調(diào)動(dòng)并保持每個(gè)參與者的積極性。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/Cloud-incident-response-Frameworks-and-best-practices